近日,Gartner举办了安全与风险管理峰会,提出了17个目前行业需要了解的网络安全概念。
Gartner认为,现如今,公共云、私有云、本地部署等技术或服务,为企业或组织的网络建设提供了多样化选择,过去传统的网络保护边界已经不再有效,网络安全环境变得更加复杂。
但也正如Gartner高级主任分析师Thomas Lintemuth所说:“网络安全是一个成熟的市场,有强大且成熟的供应商,还有源源不断且更好的新技术,使得网络和资产得到了保护。”
为此,Gartner希望通过这些关键的安全概念,为进一步了解现代网络安全架构提供坚实的基础。
网络安全架构师(Network security architect):与云安全架构、网络安全架构和数据安全架构相关职能的统称,根据组织规模,可以是具体从事上述具体职能的个人,也可是统管上述职能的管理人员。无论采用何种方式,都需要被赋予相应的决策权力。
网络风险评估(Network risk assessment):对内部或外部的恶意及过失性行为及可能造成的风险性后果进行评估,并对风险进行研判,以制定相应的应对策略,这些风险包括:
对系统或流程的了解不足
对系统风险衡量水平的不足
面临业务和技术双重风险的系统
零信任架构(Zero-Trust Architecture (ZTA)):一种网络安全范例,原理是假设网络上始终存在着威胁,其立场是保护网络上的资产,而非网络本身。由于它与用户有关,代理机构根据从应用、位置、用户、设备、时间、数据敏感性等综合因素计算出的风险状况,决定是否批准每个访问请求。正如其名称所示,ZTA是一个架构,而非产品,但可以从架构内的技术手段中寻求进一步的开发。
网络防火墙(Network firewall):一种相对成熟且被广泛应用的安全产品,能够阻止或限制来自于系统外对内部数据或程序的直接访问。网络防火墙可部署于内网或云端,目前已有针对云端的定制化功能及服务。
安全Web网关(Secure web gateway):在过去主要是为了优化互联网带宽,如今已演变为保护用户免受来自互联网的恶意内容的侵害,其URL 过滤、反恶意软件、解密和检查通过 HTTPS 访问的网站、数据丢失防护 (DLP) 和有限形式的云访问安全代理 (CASB) 等功能已成为标配。
远程访问(Remote access):目前对虚拟专用网络(VPN)的依赖性越来越小,而对零信任网络访问(ZTNA)的依赖性越来越大,它使资产对用户不可见,并使用上下文配置文件来辅助对个别应用程序的访问。
入侵防御系统(Intrusion Prevention System (IPS)):通过将 IPS 设备与未打补丁的服务器连接在一起来检测和阻止攻击,从而保护无法打补丁的漏洞(例如在一些已不提供安全支持的应用程序上)。IPS既可作为一种功能包括在其他安全产品中,也可作为独立的安全产品存在。
网络访问控制(Network access control):根据用户的角色、身份等权限的不同,对所能看到的网络内容进行控制。
网络数据包代理(Network packet broker):通过对网络流量进行处理,使诸如专门用于网络性能监控和安全相关监控的设备可以更有效地运行,功能包括用于识别风险级别的数据包过滤、分配数据包负载和基于硬件的时间戳插入等。
净化域名系统(Sanitized Domain Name System (DNS)):由供应商提供,作为企业组织的域名系统运行,防止终端用户(包括远程工作人员)访问一些不良或恶意网站。
DDoS 缓解(DDoS mitigation):限制分布式拒绝服务 (DDoS) 攻击对网络操作的破坏性影响,采取多层次的方法来保护防火墙内外的资源。
网络安全策略管理(Network Security Policy Management (NSPM)):超越防火墙厂商提供的管理界面,通过将整网设备与安全策略映射为可视化的网络拓扑,提供策略优化、策略变更管理、策略仿真、合规性检查等分析与审计能力,通常具备应用连接管理、安全策略优化、面向风险的威胁路径分析等功能模块。
微分段(Microsegmentation):阻止已经在网络上产生的攻击行为进行横向移动,以实现对其它关键信息进行保护。用于网络安全的微分段工具分为三类:
基于网络层面的工具,通常与软件结合使用,用于保护连接到网络的资产。
基于管理程序的工具,微分段的原始形式,可以提高不同管理程序之间移动的不透明网络流量的可见性。
基于主机代理的工具,通过在主机上安装一个代理隔离部门网络;主机代理解决方案同样适用于云工作负载、管理程序工作负载和物理服务器。
安全访问服务边缘(Secure Access Service Edge (SASE)):一种新兴框架,结合了全面的网络安全功能,例如 SWG、SD-WAN、ZTNA以及全面的 WAN 功能,可支持组织的安全访问需求,其目标是提供统一的安全服务模型,以可扩展、灵活和低延迟的方式提供网络功能。
网络检测和响应(Network detection and response):持续分析入站和出站的流量记录,确保正常的网络行为,因此可以识别异常情况并向组织发出警报。该工具使用了机器学习 (ML)、启发式分析和基于规则的检测分析等技术。
DNS 安全扩展(DNS security extensions):DNS 协议的附加组件,旨在验证 DNS 响应。DNSSEC 的安全优势在于需要对经过验证的 DNS 数据进行数字签名,这是一个计算密集型过程。
防火墙即服务(Firewall as a Service (FWaaS)):一种基于云SWG 密切相关的新技术,不同之处在于架构。FWaaS 通过端点和网络边缘设备之间的 VPN 连接以及云中的安全堆栈运行。它还可以通过 VPN 隧道将最终用户连接到本地服务。目前FWaaS还远不如 SWG 常见。